PyPI под прицелом: атаки на цепочку поставок через пакеты LiteLLM и Telnyx

Экосистема Python столкнулась с целенаправленными атаками на цепочку поставок, нацеленными на пользователей популярных пакетов LiteLLM и Telnyx в репозитории PyPI. Эти инциденты, подробно описанные в отчёте Python Software Foundation (PSF), демонстрируют растущий вектор угрозы, при котором злоумышленники компрометируют доверенные зависимости для внедрения вредоносного кода. Атаки подрывают фундаментальное доверие в процессе разработки, подвергая риску проекты, которые полагаются на эти библиотеки.

Атаки были направлены на пакеты `litellm` и `telnyx`, которые, судя по всему, были скомпрометированы или заменены вредоносными версиями. Злоумышленники используют уязвимости в процессах поддержки и публикации пакетов, чтобы внедрить код, который может красть данные, устанавливать бэкдоры или выполнять другие вредоносные действия на системах разработчиков. PSF провела расследование и выпустила детальный отчёт, подчёркивая необходимость повышенной бдительности для всех участников экосистемы.

В ответ на эти инциденты PSF сформулировала конкретные рекомендации для разработчиков и сопровождающих проектов на Python. Эти меры включают усиление практик безопасности при публикации пакетов, использование двухфакторной аутентификации для аккаунтов PyPI, регулярный аудит зависимостей и мониторинг на предмет подозрительной активности. Данные атаки служат тревожным сигналом для всего сообщества open-source, указывая на необходимость системных улучшений в защите инфраструктуры цепочки поставок программного обеспечения.